Lxc: Ein paar Fragen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 15.08.2019 07:29:26

Hallo Kollegen,

Ich überlege ob ich meine VMs auf dem Server auf lxc umstelle. Zuhause habe ich das schon mal ausprobiert das hat auch gut funktioniert.
a) Ich hatte subids dem Nutzer Root gegeben und damit die Container gestartet. Wie groß ist der Sicherheitsgewinn im Vergleich wenn ein normaler Nutzer mit subids den Container startet?
b) Google Trends zeigt das lxc vs docker praktisch nur docker dominiert. Popcon von Debian zeigt lxc leicht vorne.
c) docker hat ro images. Wo speichert ihr die Daten? Ist für Server Betrieb lxc besser? Oder setzt ihr ganz klassische VMs ein?

Gruß Georg

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 15.08.2019 09:20:39

Es gibt in diesem unpriviledged LXC container interessante Bugs in Bezug auf AppArmour.

Debian Bugreport925899 und Debian Bugreport916639

Benutzeravatar
novalix
Beiträge: 1733
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Lxc: Ein paar Fragen

Beitrag von novalix » 15.08.2019 17:24:37

Hi,
für die beiden Bugs sind ja im Wesentlichen schon Lösungen implementiert.
Der zweite hatte mich vor ein paar Monaten (da war buster noch testing) auch schon mal gebissen.
Als Workaround habe ich damals bis zur Lösung einfach die Container aus sysv umgestellt (funktioniert prima unter buster, so lange kein X und DE involviert ist).

Ich nutze lxc für "vollständige" Systeme, d.h. Instanzen in die ich mich einlogge und administriere. Das ist bei Docker ja häufig nicht der Fall. Da werden meistens bestimmte daemons in einem Image gekapselt und von aussen gesteuert.
Irgendjemand packt Dir einen Container, schickt ihn um die halbe Welt und Du hievst ihn in Dein System ohne rein zu schauen. Ist nicht so meins, aber das sieht ein Großteil der Welt wohl anders.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 17.08.2019 06:41:58

Danke novalix für deinen Input :)

Benutzeravatar
MartinV
Beiträge: 745
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: Lxc: Ein paar Fragen

Beitrag von MartinV » 17.08.2019 16:18:16

schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
15.08.2019 07:29:26
Ich hatte subids dem Nutzer Root gegeben und damit die Container gestartet. Wie groß ist der Sicherheitsgewinn im Vergleich wenn ein normaler Nutzer mit subids den Container startet?
Mein Wissen ist hier schwammig und nur analog von Docker hergeleitet:

Soweit ich sehe, gibt es einen Sicherheitsgewinn mit subids eines unprivilegierten Users. Eine subid kann innerhalb des containers als root agieren. Sollte ein root-Programm aus dem Container ausbrechen, liefe es auf dem Host als unprivilegierter User, nicht als root.

subids von root in einem Container wären auf dem Host auch root. Also kein Sicherheitsgewinn.

Soweit mein unsicheres Verständnis.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 17.08.2019 18:27:10

Meine tests zeigen, daß der einzige Unterschied zwischen Root startet den Container oder ein normale Nutzer ist, das lxc-monitor einmal unter root läuft und das andere mal als Benutzer.
Die Frage ist: Ist das gefährlicher? Und wie gefährlich ist das überhaupt? Init im Container läuft einmal unter uid 100000 oder unter 1001000.

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 18.08.2019 09:00:48

2240

So schaut es jetzt aus: root startet hier 3 Container mit jeweils einem eigen Subset an UID/GIDs.

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lxc: Ein paar Fragen

Beitrag von schorsch_76 » 18.08.2019 10:11:23

lxc-ls meldet, das diese Container unpriviledged sind:

Code: Alles auswählen

lxc-ls --fancy
NAME     STATE   AUTOSTART GROUPS IPV4            IPV6 UNPRIVILEGED 
ldap     RUNNING 1         -      192.xxxxxxxxxxx -    true         
mail     RUNNING 1         -      192.xxxxxxxxxxx -    true         
www      RUNNING 1         -      192.xxxxxxxxxxx -    true 

Antworten